CN115459965A

CN115459965A - 一种面向电力系统网络安全的多步攻击检测方法

Info

Publication number: CN115459965A
Application number: CN202211014966.1A
Authority: CN
Inventors: 顾钊铨; 杨举; 朱亚运; 王乐; 陈光耀; 缪思薇; 蔺子卿; 张晓娟; 梁栩健; 张志强; 马丽婷
Original assignee: China Electric Power Research Institute Co Ltd CEPRI; Guangzhou University; State Grid Shanghai Electric Power Co Ltd
Current assignee: China Electric Power Research Institute Co Ltd CEPRI; Guangzhou University; State Grid Shanghai Electric Power Co Ltd
Priority date: 2022-08-23
Filing date: 2022-08-23
Publication date: 2022-12-09

Abstract

本发明涉及网络安全技术领域，且公开了一种面向电力系统网络安全的多步攻击检测方法，包括以下步骤：多源异构告警数据的匹配和融合；告警信息的聚合与关联；基于因果知识和时空规则的攻击链模板抽取；基于攻击链模板和时空规则约束的多步攻击检测。本发明将不同入侵检测系统按照ATT&CK框架对攻击行为进行融合，解决不同入侵检测系统在攻击知识库方面异构的问题；对原始的告警信息进行特征筛选和重构，形成统一的十元组形式的告警日志，便于综合分析，以充分发挥不同入侵检测系统融合的优势；对告警信息根据地址相关性进行聚合，得到不同类簇，将不同的攻击行为独立划分，有利于针对不同类簇的数据并行挖掘和分析，可提高系统分析的速率。

Description

一种面向电力系统网络安全的多步攻击检测方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种面向电力系统网络安全的多步攻击检测方法。

背景技术

随着信息化的推进和发展，网络已成为现代社会不可或缺的元素，而网络安全也日益受到国家层面的高度重视。随着电力行业数字化、自动化程度越来越高，人们在享受信息技术发展给电力行业带来便利的同时，也有不法分子通过网络攻击手段对电力系统进行攻击尝试，这样潜在的安全威胁可造成严重的后果；

网络攻击通常被定义为一种尝试去破坏、暴露、修改、使设备失去功能、窃取以及获取未授权许可或者非法使用资产的行为。而攻击术语大部分代表的是单步攻击，比如SQL注入攻击，这些攻击行为仅有一个攻击动作。复杂攻击由至少两个单步攻击按特定顺序组成，并且可能由一个或多个攻击者同时向某一特定的对象发起。例如目前许多高等教育机构、金融企业以及政府机构所遭受的高级持续威胁(advanced persistent threat，APT)便属于多步攻击的范畴。APT攻击具有高度的目的性、隐蔽性和危害性，攻击手段复杂多变，持续时间较长；

基于攻击图的多步攻击检测方法通过从大量告警信息中挖掘关联关系，发现攻击路径，达到重现攻击场景的目的，此类方法受专家知识的限制，难以检测未知攻击。基于神经网络的方法则是通过神经网络模型从海量的告警信息中挖掘未知的攻击路径。但是此类方法存在模型不可解释的问题，导致可能存在较高的误检率、漏报率。与此同时，告警数据的处理也面临巨大挑战：首先告警信息的规模巨大，一个入侵检测系统每天产生的告警可能达到数百万条，其中存在很多误报信息和冗余告警信息，需要对这些告警信息进行筛选，从中找到最有价值的告警信息；其次，不同的入侵检测系统有不同的知识库，其发出的告警信息存在格式、描述上的不一致，不利于综合分析，难以充分发挥不同入侵检测系统融合的优势。

发明内容

本发明的目的在于提供一种面向电力系统网络安全的多步攻击检测方法，以解决背景技术中的问题。

为实现上述目的，本发明提供如下技术方案：

一种面向电力系统网络安全的多步攻击检测方法，包括以下步骤：

S1：多源异构告警数据的匹配和融合；

S2：告警信息的聚合与关联；

S3：基于因果知识和时空规则的攻击链模板抽取；

S4：基于攻击链模板和时空规则约束的多步攻击检测。

优选的，S1中告警信息为十元组形式：A_i＝(ID,type,Starttime,Endtime, s_IP,s_Port,d_IP,d_Port,protocol,priority)。

优选的，A_i表示第i个告警信息，ID表示告警编号，type代表攻击类型，第j种攻击表示为a_j，Starttime代表入侵检测系统检测到攻击行为的开始时间，Endtime代表检测到的攻击行为结束时间，s_IP、s_Port代表攻击事件的源IP、端口号，d_IP、d_Port代表攻击的目标IP、端口号，protocol代表攻击行为所使用的协议，priority代表告警的级别。

优选的，S1中告警信息的融合是对不同设备产生的告警信息进行聚合的过程，包括数据消歧、去重等，在对不同设备的告警信息进行汇总，按照定义的告警信息格式将所有的告警信息统一为既定格式，随后对告警信息进行融合

告警信息的融合是对不同设备产生的告警信息进行聚合的过程，包括数据消歧、去重等。由于不同设备检测到同一攻击后发出的告警信息可能并不相同，为了提高告警信息的质量，本发明按照知识库与不同设备知识体系的映射关系，将不同表述但代表同一攻击行为的告警信息融合为一种告警信息，因此减少告警信息的复杂程度，缩减告警序列长度。

优选的，S2是对处理后的告警序列进行聚合，目的是过滤重复冗余的告警信息，合并相似告警，减少告警的数量。

优选的，S3中因果关系是从攻击者的角度看，其所进行的攻击行动都是为下一步的攻击做铺垫，最终一步一步达到自己的目的，所以攻击步骤之间存在极强的逻辑因果关系，S3中时空规则是从时间和空间两个维度对攻击链进行约束，因果知识是因果关系的形式化表示，通过因果知识对攻击链进行过滤，可以过滤掉不符合逻辑因果关系的攻击链。

优选的，时间维度的限制主要体现在两个方面：第一方面是攻击行为的发生时间和结束时间符合既定的先后顺序，第二个方面是对两次攻击行为的时间跨度进行限制，结合电力系统历史攻击事件的记录判断多步攻击行为存在的活动时间，以此为依据设置一个时间阈值作为重建攻击场景的时间约束。

优选的，空间维度上是根据电力系统本身的网络拓扑、资产以及漏洞信息等设置约束规则，通过因果关系和时空规则对攻击链模板进行约束，得到的攻击链模板更加准确，也更符合实际情况。

本发明提供了面向电力系统网络安全的多步攻击检测方法。该面向电力系统网络安全的多步攻击检测方法具备以下有益效果：

(1)、该面向电力系统网络安全的多步攻击检测方法，将不同入侵检测系统按照ATT&CK框架对攻击行为进行融合，解决不同入侵检测系统在攻击知识库方面异构的问题；

(2)、该面向电力系统网络安全的多步攻击检测方法，对原始的告警信息进行特征筛选和重构，形成统一的十元组形式的告警日志，便于综合分析，以充分发挥不同入侵检测系统融合的优势；

(3)、该面向电力系统网络安全的多步攻击检测方法，对告警信息根据地址相关性进行聚合，得到不同类簇，将不同的攻击行为独立划分，有利于针对不同类簇的数据并行挖掘和分析，可提高系统分析的速率；

(4)、该面向电力系统网络安全的多步攻击检测方法，根据因果关系对告警信息进行关联，并通过时空规则进行约束，检测攻击路径，重构攻击场景，形成基于攻击链匹配和分析的多步攻击检测，降低对专家知识的依赖同时具有可解释性的优势。

附图说明

图1为本发明实施例多步攻击检测方法的流程示意图。

具体实施方式

参见图1，本发明实施例提供的面向电力系统网络安全的多步攻击检测方法，包括以下步骤：

S1：多源异构告警数据的匹配和融合：

目前现有的入侵检测设备种类多样，如开源的入侵检测系统，专业安全厂商销售的入侵检测设备等。在实际系统的安全维护中，为了提升检测准确率，一般会部署多种入侵检测系统。不同入侵检测系统或设备发出的告警信息质量参差不齐，格式存在差异，在不同知识体系下对告警信息进行综合分析会极大增加工作量和难度。因此本发明引入近几年行业普遍认可的ATT&CK 作为标准知识库，结合电力系统安全数据，建立电力领域的知识体系。ATT&CK 是MITRE公司提供的网络安全对抗战术、技术和常识框架，是对现实世界攻击者的观察总结出的战术和知识库，ATT&CK拥有较为完整的攻击知识体系且处于动态更新中，可以把其作为标准知识库，将不同设备厂商定义的攻击知识与之映射起来，统一命名ID、攻击描述等关键信息，并利用ATT&CK中的知识对厂商的攻击知识进行补充。本发明同时根据电力系统特有的特征，比如电能调度设备所遭受过的攻击事件，对这些知识着重标注和记录，最终形成一个具有鲜明电力系统特征的知识体系。

本发明定义告警信息为十元组形式：A_i＝(ID,type,Starttime,Endtime, s_IP,s_Port,d_IP,d_Port,protocol,priority)，其中，A_i表示第i个告警信息，ID表示告警编号，type代表攻击类型，第j种攻击表示为a_j， Starttime代表入侵检测系统检测到攻击行为的开始时间，Endtime代表检测到的攻击行为结束时间，s_IP、s_Port代表攻击事件的源IP、端口号，d_IP、 d_Port代表攻击的目标IP、端口号，protocol代表攻击行为所使用的协议， priority代表告警的级别。

在对不同设备的告警信息进行汇总，按照定义的告警信息格式将所有的告警信息统一为既定格式，随后对告警信息进行融合。

S2：告警信息的聚合与关联：

对处理后的告警序列进行聚合，目的是过滤重复冗余的告警信息，合并相似告警，减少告警的数量。通过对告警序列的分析可知，每条告警信息代表着从源IP到目的IP的一次攻击行为，同时存在告警信息A_i的s_IP和告警信息A_j的s_IP是同一IP地址的情况。在一定大小的时间窗口内，通过s_IP 对告警信息进行分类，每个类簇代表某一IP地址的主机对其他IP地址设备发动的攻击行为序列，然后对每个类簇内的告警信息进行聚合，达到减少告警信息冗余重复的目的。

假设在时间窗口W内，攻击序列中存在一系列具有相同s_IP、d_IP和Type 的告警信息A₁、A₂、…、A_n，如果在这期间没有发生其他类型的攻击，可以认为这些告警信息代表了一个攻击行为，可进行聚合操作，聚合操作即对 Endtime属性进行合并，如将A_n的结束时间覆盖A₁的结束时间，并删除 A₂、…、A_n；

例如在整个网络中，假设某类簇存在告警信息序列如表2.1。序列表中存在四个告警信息，告警1、2、3拥有相同的s_IP、d_IP、Type，可认为其属于同一个攻击事件，所以这三个告警信息是冗余的，然后可对其进行聚合，将告警3的结束时间覆盖告警1的结束时间并将告警2、3从序列中删除，告警数量从四个变为两个，且不存在告警信息的丢失。聚合后的告警信息序列如表2.2所示：

表2.1原始告警信息序列

表2.2聚合后的告警信息序列

在此基础上对所有告警信息进行关联分析，总结出攻击行为模板，挖掘攻击模式或场景。

首先对处理后的类簇进行建模，构建告警树状图，然后可利用深度遍历得到潜在的攻击链。通过深度遍历可从告警序列抽取出攻击链，可包含各种攻击场景，但由于数据量规模很大，会存在各种并不符合实际攻击场景的攻击链，价值密度较低，会降低分析效率，同时会产生更多漏报或误报。所以在得到大量攻击链后，需要通过制定一些约束规则对攻击链进行筛选，本发明通过因果知识和时空规则对攻击链进行进一步约束，从而从已发生攻击事件的告警信息中抽取出用于指导多步攻击检测的攻击链模板。

S3：基于因果知识和时空规则的攻击链模板抽取：

从攻击者的角度看，其所进行的攻击行动都是为下一步的攻击做铺垫，最终一步一步达到自己的目的，所以攻击步骤之间存在极强的逻辑因果关系。因果知识是因果关系的形式化表示，通过因果知识对攻击链进行过滤，可以过滤掉不符合逻辑因果关系的攻击链。

一般而言，因果知识可通过谓词逻辑、贝叶斯网络、马尔可夫链等进行建模，但上述方法都是通过预定义的方式建模，对专家知识具有较强的依赖性，无法发现未知的攻击模式或场景，而且建模的代价较大。本发明通过数据挖掘的方式从实际攻击事件对应的告警数据中挖掘因果知识，可解决上述问题。

除了通过因果关系对攻击链进行筛选，本发明利用时空规则对攻击链进行约束和优化，得到更加真实有效的攻击模板。其中，时空规则可从时间和空间两个维度对攻击链进行约束，分析人员可根据电力系统的实际情况，制定具体的时空规则。

时间维度的限制主要体现在两个方面，第一方面是攻击行为的发生时间和结束时间符合既定的先后顺序，假设存在攻击链<A₁,A₂>且A₁先于A₂产生，即A₁.Starttime<A₂.Starttime，如果告警序列不符合响应规则，可认为未形成攻击链。

其次，对两次攻击行为的时间跨度进行限制，结合电力系统历史攻击事件的记录判断多步攻击行为存在的活动时间，以此为依据设置一个时间阈值作为重建攻击场景的时间约束。

空间维度上根据电力系统本身的网络拓扑、资产以及漏洞信息等设置约束规则，例如攻击链中两个相邻单步攻击的IP需要在同一个域或者网段中，发生的攻击行为与相应的IP地址主机的系统漏洞存在利用关系等。

通过因果关系和时空规则对攻击链模板进行约束，得到的攻击链模板更加准确，也更符合实际情况；

S4：基于攻击链模板和时空规则约束的多步攻击检测：

通过对历史告警信息序列关联分析得到攻击链模板后，便可使用这些模板对实时的告警数据流进行匹配和检测。对于实时收集到的告警序列，经过匹配、融合和聚合处理后，通过上文中提到的时空规则进一步筛选，获得精简的告警序列。

在进行攻击链匹配的过程中会不可避免地出现因入侵检测设备漏报所造成的攻击步骤缺失，对于这种可能存在的攻击场景，对攻击链进行补全。具体而言，本发明利用每个告警信息的priority属性计算每个攻击链条的风险等级，当攻击链出现某一部分单步攻击缺失的情况，根据攻击链模板进行补全，但降低缺失部分的priority属性值，最终计算出来的风险等级会一定程度下降，这样既达到了检测多步攻击行为的目的，也会让分析人员优先处理风险等级更高的多步攻击行为。

随着告警数据规模的不断扩大，攻击链模板可能无法满足复杂多步攻击检测的需求，未来可采用知识图谱的方法，构建大规模网安知识图谱和针对复杂多步攻击的子图谱，通过子图匹配的方式进行告警关联分析和多步攻击检测，从而提升针对多步攻击检测的准确率。

该面向电力系统网络安全的多步攻击检测方法在使用时，首先是针对多个入侵检测系统产生的告警信息的预处理，然后是构建攻击链模板以及告警实时检测，最后基于攻击链和时空约束规则进行多步攻击检测。

本发明上述实施例将不同入侵检测系统按照ATT&CK框架对攻击行为进行融合，解决不同入侵检测系统在攻击知识库方面异构的问题；对原始的告警信息进行特征筛选和重构，形成统一的十元组形式的告警日志，便于综合分析，以充分发挥不同入侵检测系统融合的优势；对告警信息根据地址相关性进行聚合，得到不同类簇，将不同的攻击行为独立划分，有利于针对不同类簇的数据并行挖掘和分析，可提高系统分析的速率。

以上结合附图对本发明的实施方式作了详细说明，但本发明不限于所描述的实施方式。对于本领域的技术人员而言，在不脱离本发明原理和精神的情况下，对这些实施方式进行多种变化、修改、替换和变型，仍落入本发明的保护范围内。

Claims

1.一种面向电力系统网络安全的多步攻击检测方法，其特征在于，其包括以下步骤：

S1：多源异构告警数据的匹配和融合；

S2：告警信息的聚合与关联；

S3：基于因果知识和时空规则的攻击链模板抽取；

S4：基于攻击链模板和时空规则约束的多步攻击检测。

2.根据权利要求1所述的面向电力系统网络安全的多步攻击检测方法，其特征在于：S1中告警信息为十元组形式：A_i＝(ID,type,Starttime,Endtime,s_IP,s_Port,d_IP,d_Port,protocol,priority)。

3.根据权利要求2所述的面向电力系统网络安全的多步攻击检测方法，其特征在于：A_i表示第i个告警信息，ID表示告警编号，type代表攻击类型，第j种攻击表示为a_j，Starttime代表入侵检测系统检测到攻击行为的开始时间，Endtime代表检测到的攻击行为结束时间，s_IP、s_Port代表攻击事件的源IP、端口号，d_IP、d_Port代表攻击的目标IP、端口号，protocol代表攻击行为所使用的协议，priority代表告警的级别。

4.根据权利要求1所述的面向电力系统网络安全的多步攻击检测方法，其特征在于：S1中告警信息的融合是对不同设备产生的告警信息进行聚合的过程，包括数据消歧、去重等。

5.根据权利要求1所述的面向电力系统网络安全的多步攻击检测方法，其特征在于：S2是对处理后的告警序列进行聚合。

6.根据权利要求1所述的面向电力系统网络安全的多步攻击检测方法，其特征在于：S3中因果关系是从攻击者的角度看，其所进行的攻击行动都是为下一步的攻击做铺垫，最终一步一步达到自己的目的，所以攻击步骤之间存在极强的逻辑因果关系，S3中时空规则是从时间和空间两个维度对攻击链进行约束。

7.根据权利要求6所述的面向电力系统网络安全的多步攻击检测方法，其特征在于：时间维度的限制主要体现在两个方面：第一方面是攻击行为的发生时间和结束时间符合既定的先后顺序，第二个方面是对两次攻击行为的时间跨度进行限制，结合电力系统历史攻击事件的记录判断多步攻击行为存在的活动时间，以此为依据设置一个时间阈值作为重建攻击场景的时间约束。

8.根据权利要求6所述的面向电力系统网络安全的多步攻击检测方法，其特征在于：空间维度上是根据电力系统本身的网络拓扑、资产以及漏洞信息等设置约束规则。